2023年第50周安全周报 | 本周安全要闻
● 我国牵头提出的国际标准《信息技术 网络安全 第7部分:网络虚拟化安全指南》正式发布
近日,我国牵头提出的国际标准ISO/IEC 27033-7:2023《信息技术 网络安全 第7部分:网络虚拟化安全指南》正式发布。该提案于2018年9月提交至ISO/IEC JTC1/SC27,后经研究,于2020年9月正式立项;2023年11月正式发布。ISO/IEC 27033-7是ISO/IEC 27033网络安全系列标准的第7部分,其中第1至6部分主要介绍了网络安全的基本概念和防护方法,以及安全网关、无线IP安全接入等基础网络安全技术的实现指南。ISO/IEC 27033-7分析了网络虚拟化的安全挑战,提出了网络虚拟化的安全模型和安全原则,并为网络虚拟化的安全实施提供指引。该国际标准适用于5G、算力网络等网络虚拟化场景,可指导相关方防范新型网络环境下的安全风险。
来源:全国信息安全标准化技术委员会
● 国家网信办发布《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引 》
近年来,粤港澳大湾区的经济往来日益密切,地区整体发展取得了显著的进展。然而,随着粤港澳各地区城市之间的交流合作增加,数据流动中个人信息的合法、安全、有序跨境传输缺乏一套完善、统一的规范和流程,从而存在潜在的网络安全风险。为落实《中华人民共和国国家互联网信息办公室与香港特别行政区政府创新科技及工业局关于促进粤港澳大湾区数据跨境流动的合作备忘录》关于“共同制定粤港澳大湾区个人信息跨境标准合同并组织实施,加强个人信息跨境标准合同备案管理”的合作措施,国家互联网信息办公室与香港创新科技及工业局共同制定《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》。
来源:国家互联网信息办公室
● 《北京市公共数据专区授权运营管理办法 (试行)》正式印发
2023年12月8日,北京市经济和信息化局经市政府同意,将《北京市公共数据专区授权运营管理办法(试行)》正式印发,共七章三十一条,其规定了公共数据范围、公共数据专区定义、授权运营基本原则、运营管理机制、授权运营工作流程、运营单位管理要求、数据管理要求、安全管理和考核评估,请结合实际认真贯彻落实。
来源:北京市经济和信息化局
● 因居民机顶盒遭网络攻击,阿联酋电视台“被插播”以巴冲突视频
据阿联酋当地媒体12月11日报道,网络攻击扰乱了阿联酋各地的电视服务,人工智能主播播放来自加沙的图形内容。具体情况是阿联酋居民使用的机顶盒遭到网络攻击,常规内容被替换为显示以色列在巴勒斯坦暴行的视频。据阿联酋英文报纸 Khaleej Times报道,事件发生在当地时间12月10日,受影响服务的订阅者报告说,欧洲直播频道突然发生变化,并附有一条消息,声明“我们别无选择,只能通过黑客攻击来向您传递此消息”。随后,屏幕切换到人工智能新闻主播,播放有关以色列监狱中巴勒斯坦儿童和妇女的困境的公告,并伴随着他们陷入困境的视觉效果。截至12月11日早些时候,黑客问题仍然没有得到解决。
来源:khaleejtimes
● 乌克兰最大电信运营商因网络攻击而关闭
乌克兰最大的电信运营商Kyivstar于12月12日遭受重大网络攻击,导致数百万人无法使用手机服务和互联网。Kyivstar客户一大早就开始抱怨网络和互联网中断。该公司后来通过Facebook报告称其受到了“强大”攻击的攻击。导致“大规模技术故障”的网络攻击。客户的声明称,数据并未受到损害。截至当天下午,Kyivstar在乌克兰的服务仍然处于瘫痪状态。该公司首席执行官Oleksandr Komarov在视频声明中表示,“目前尚不完全清楚”公司何时恢复正常运营。乌克兰国家网络安全机构的“相关服务”包括乌克兰计算机应急响应小组在内的各方正在调查这一事件。
来源:The Record
● 希腊计划设立国家网络安全局来应对不断上升的黑客威胁
希腊正在建立一个国家网络安全组织,以打击针对政府、国家机构、公用事业、学校、医院和公司的黑客和勒索软件团伙。据称,新民主党政府正在向议会提交一份建立国家网络安全局的提案,以保护制造业、化学品分销和食品等行业的公共部门和私营企业。该提案由数字治理部Dimitris Papastergiou提出,提议建立一个国家网络安全局。到目前为止,数字治理部设有一个专门负责网络安全的理事会。根据数字治理部拟议的法律草案,国家网络安全局将作为公法下的法人实体成立。该国实现高度网络安全的政策、活动和措施的综合框架将由新管理局协调、实施和监督。在数字治理部长的指导下,国家网络安全管理局将作为专门且高效的组织,负责创建和执行与其他主管部门共同制定国家网络安全战略。目标是发展希腊的网络安全生态系统以及成功预防和管理网络攻击。为了国家网络安全局提升对网络安全领域参与者的监管、信息和支持水平并创建一个具有安全基础设施的环境,以满足紧迫的国家需求以及欧盟做出的迫切承诺,该法律草案是至关重要的第一步。国家网络安全局的成立是希腊提升网络安全领域监管、信息和支持水平的关键且必要的第一步。
来源:THE CYBER EXPRESS
● 美国DOE推出CyOTE工具以增强OT网络安全
美国能源部网络安全、能源安全和应急响应办公室 (CESER) 推出了一套新工具作为其运营技术环境网络安全(CyOTE)研究计划。通过对工具的全面理解和演示,在利益相关者之间建立信任,培训能源资产所有者和运营商使用CyOTE工具,在提高复原力方面发挥着关键作用。它们还通过公私合作帮助加快网络安全解决方案的开发,并通过全面的威胁信息操作技术 (OT) 网络安全方法降低网络攻击的风险。CyOTE工具使资产所有者能够通过提供及时的警报和可操作的信息来采取缓解措施。此外,CyOTE计划直接支持拜登-哈里斯政府的目标,即确保关键能源基础设施和增强能源部门的弹性。它还促进政府和私营部门之间的合作,以加速新网络安全技术的开发和部署。自启动以来,CyOTE计划生成了4,000多页信息和14,000个指标,可用于提供强有力的OT网络安全态势 。
来源:industrialcyber
● 美国NIST发布关于数据隐私数学方法的指南
美国国家标准与技术研究院于本周发布了新指南草案,重点是阐明组织如何采用差异隐私(一种数学算法)作为安全基础设施的一部分,广泛用于量化给定数据集中给个人带来的隐私风险有多大。正如NIST的指导意见所指出的那样,差异隐私可以作为一种方案,通过一个框架来评估组织的数字隐私状况,该框架可识别数据安全潜在漏洞的现有因素。NIST指南的目标是帮助组织在“隐私和准确性之间”取得平衡。“应用差异隐私允许公开发布数据,而不会泄露数据集中的个人。”NIST指南的核心内容将差异隐私框架组织为金字塔:其基础是组织的数据收集暴露,考虑访问控制、威胁和信任模型等网络安全协议以及数据收集实践。金字塔的中间部分侧重于算法和正确性,以及其他可能破坏数据隐私工作的因素。
来源:网空闲话plus
● 伊朗决定与俄罗斯联手应对网络威胁
伊朗伊斯兰协商委员会批准了议会国家安全和外交政策委员会关于伊朗与俄罗斯信息安全领域合作协议法草案的报告内容。伊朗伊斯兰共和国通讯社 (IRNA)报道了这一消息 。“伊朗伊斯兰共和国政府和俄罗斯联邦政府之间的信息安全领域合作协议已获得批准,该协议由引言、9条条款和1个附件组成,并允许就该协议交换文件,”声明说。议会国家安全和外交政策委员会关于该法案的报告被列入议程,并得到180名议员支持,27名反对。投票前,委员会代表阿博法兹尔·阿穆伊为该法案辩护说,伊朗伊斯兰共和国和俄罗斯联邦之间的关系有各个方面,这项信息安全领域的协议将有助于改善这些方面。他还强调两国在文化、过境和贸易领域的协议得到成功落实,并表示希望进一步发展信息安全领域的合作。
来源:securitylab.ru
